Об утверждении Правил определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач

Приказ Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 21 июня 2023 года № 199/НҚ. Зарегистрирован в Министерстве юстиции Республики Казахстан 23 июня 2023 года № 32889.

      В соответствии с подпунктом 2-2) пункта 1 статьи 27-1 Закона Республики Казахстан "О персональных данных и их защите" ПРИКАЗЫВАЮ:

      1. Утвердить прилагаемые Правила определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач.

      2. Комитету по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан обеспечить:

      1) государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;

      2) размещение настоящего приказа на интернет-ресурсе Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан;

      3) в течение десяти рабочих дней после государственной регистрации настоящего приказа в Министерстве юстиции Республики Казахстан представление в Юридический департамент Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан сведений об исполнении мероприятий, предусмотренных подпунктами 1) и 2) настоящего пункта.

      3. Контроль за исполнением настоящего приказа возложить на курирующего вице-министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан.

      4. Настоящий приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

Министр цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан

Б. Мусин

Утверждены приказом Министр цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 21 июня 2023 года № 199/НҚ

Правила определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач

Глава 1. Общие положения

      1. Настоящие Правила определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач (далее – Правила), разработаны в соответствии с подпунктом 2-2) пункта 1 статьи 27-1 Закона Республики Казахстан "О персональных данных и их защите" (далее – Закон) и определяют порядок определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач.

      2. В настоящих Правилах используются следующие основные понятия:

      1) персональные данные – сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе;

      2) сбор персональных данных – действия, направленные на получение персональных данных;

      3) собственник базы, содержащей персональные данные (далее – собственник), – государственный орган, физическое и (или) юридическое лицо, реализующие в соответствии с законами Республики Казахстан право владения, пользования и распоряжения базой, содержащей персональные данные;

      4) оператор базы, содержащей персональные данные (далее – оператор), – государственный орган, физическое и (или) юридическое лицо, осуществляющие сбор, обработку и защиту персональных данных;

      5) обработка персональных данных – действия, направленные на накопление, хранение, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение персональных данных.

Глава 2. Порядок определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач

      3. Собственник и (или) оператор до начала сбора и обработки персональных данных проводят анализ осуществляемых ими задач на предмет использования персональных данных.

      При осуществлении текущей деятельности собственник и (или) оператор по мере необходимости проводят повторный анализ осуществляемых ими задач на предмет использования персональных данных, на основании которого вносятся изменения в перечень персональных данных, необходимый и достаточный для выполнения осуществляемых ими задач.

      4. На основании проведенного анализа собственник и (или) оператор по форме, согласно приложению к настоящим Правилам, определяют перечень персональных данных, необходимый и достаточный для выполнения осуществляемых ими задач с указанием целей их сбора и обработки в рамках задач.

      Цели являются однозначными, законными и соответствуют осуществляемым собственником и (или) оператором задачам.

      Персональные данные, содержание и объем которых являются избыточными по отношению к осуществляемым собственником и (или) оператором задач, не включаются в перечень персональных данных, необходимый и достаточный для выполнения осуществляемых ими задач.

      5. Собственник и (или) оператор обеспечивают доступ к перечню персональных данных, необходимому и достаточному для выполнения осуществляемых ими задач, способами, не запрещенными законодательством Республики Казахстан.

Приложение к Правилам определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач

Перечень персональных данных, необходимый и достаточный для выполнения осуществляемых задач

№ п/п	Наименование задачи, в том числе функций, полномочий, обязанностей	Цели сбора и обработки в рамках осуществляемой задачи	Наименование персональных данных для определенной цели	Указание на документы или нормативные правовые акты, имеющие прямые указания на осуществляемые собственником и (или) оператором задачи

Меншік иесінің және (немесе) оператордың өздері жүзеге асыратын міндеттерді орындау үшін қажетті және жеткілікті дербес деректердің тізбесін айқындау қағидаларын бекіту туралы

Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 2023 жылғы 21 маусымдағы № 199/НҚ бұйрығы. Қазақстан Республикасының Әділет министрлігінде 2023 жылғы 23 маусымда № 32889 болып тіркелді

      "Дербес деректер және оларды қорғау туралы" Қазақстан Республикасы Заңының 27-1-бабы 1-тармағы 2-2) тармақшасына сәйкес БҰЙЫРАМЫН:

      1. Қоса беріліп отырған Меншік иесінің және (немесе) оператордың өздері жүзеге асыратын міндеттерді орындау үшін қажетті және жеткілікті дербес деректердің тізбесін айқындау қағидалары бекітілсін.

      2. Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің Ақпараттық қауіпсіздік комитеті:

      1) осы бұйрықты Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуді;

      2) осы бұйрықты Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің интернет-ресурсында орналастыруды;

      3) осы бұйрық Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркелгеннен кейін он жұмыс күн ішінде Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің Заң департаментіне осы тармақтың 1) және 2) тармақшаларында көзделген іс-шаралардың орындалуы туралы мәліметтерді ұсынуды қамтамасыз етсін.

      3. Осы бұйрықтың орындалуын бақылау жетекшілік ететін Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі вице-министріне жүктелсін.

      4. Осы бұйрық алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.

Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрі

Б. Мусин

Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрі 2023 жылғы 21 маусымдағы № 199/НҚ Бұйрықпен бекітілген

Меншік иесінің және (немесе) оператордың өздері жүзеге асыратын міндеттерді орындау үшін қажетті және жеткілікті дербес деректердің тізбесін айқындау қағидалары

1-тарау. Жалпы ережелер

      1. Осы Меншік иесінің және (немесе) оператордың өздері жүзеге асыратын міндеттерді орындау үшін қажетті және жеткілікті дербес деректердің тізбесін айқындау қағидалары (бұдан әрі – Қағидалар) "Дербес деректер және оларды қорғау туралы" Қазақстан Республикасының Заңы (бұдан әрі – Заң) 27-1-бабының 1-тармағының 2-2) тармақшасына сәйкес әзірленді және меншік иесінің және (немесе) оператордың өздері жүзеге асыратын міндеттерді орындау үшін қажетті және жеткілікті дербес деректердің тізбесін айқындау тәртібін белгілейді.

      2. Осы Қағидаларда мынадай негiзгi ұғымдар пайдаланылады:

      1) дербес деректер – мәліметтер негізінде айқындалған немесе айқындалатын дербес деректер субъектісіне қатысты, электрондық, қағаз және (немесе) өзге де материалдық жеткізгіште тiркелген cол мәліметтер;

      2) дербес деректерді жинау – дербес деректерді алуға бағытталған іс-әрекеттер;

      3) дербес деректерді қамтитын базаның меншік иесі (бұдан әрі – меншік иесі) – дербес деректерді қамтитын базаны Қазақстан Республикасының заңдарына сәйкес иелену, пайдалану және оған билік ету құқығын іске асыратын мемлекеттік орган, жеке және (немесе) заңды тұлға;

      4) дербес деректерді қамтитын базаның операторы (бұдан әрі – оператор) – дербес деректерді жинауды, өңдеуді және қорғауды жүзеге асыратын мемлекеттік орган, жеке және (немесе) заңды тұлға;

      5) дербес деректердi өңдеу – дербес деректерді жинақтауға, сақтауға, өзгертуге, толықтыруға, пайдалануға, таратуға, иесiздендiруге, бұғаттауға және жоюға бағытталған iс-әрекеттер.

2-тарау. Меншік иесінің және (немесе) оператордың өздері жүзеге асыратын міндеттерді орындау үшін қажетті және жеткілікті дербес деректердің тізбесін айқындау тәртібі

      3. Меншік иесі және (немесе) оператор дербес деректерді жинау және өңдеу басталғанға дейін дербес деректерді пайдалану тұрғысынан өздері жүзеге асыратын міндеттерге талдау жүргізеді.

      Ағымдағы қызметті жүзеге асыру кезінде меншік иесі және (немесе) оператор қажеттілігіне қарай дербес деректерді пайдалану тұрғысынан өздері жүзеге асыратын міндеттерге қайта талдау жүргізеді, соның негізінде олар жүзеге асыратын міндеттерді орындау үшін қажетті және жеткілікті дербес деректер тізбесіне өзгерістер енгізіледі.

      4. Жүргізілген талдау негізінде меншік иесі және (немесе) оператор осы Қағидаларға қосымшаға сәйкес нысан бойынша міндеттер шеңберінде оларды жинау және өңдеу мақсаттарын көрсете отырып, өздері жүзеге асыратын міндеттерді орындау үшін қажетті және жеткілікті дербес деректердің тізбесін айқындайды.

      Мақсаттар бірмәнді, заңды болып табылады және меншік иесі және (немесе) оператор жүзеге асыратын міндеттерге сәйкес келеді.

      Меншік иесі және (немесе) оператор жүзеге асыратын міндеттерге қатысты мазмұны мен көлемі артық болып табылатын дербес деректер олар жүзеге асыратын міндеттерді орындау үшін қажетті және жеткілікті дербес деректер тізбесіне енгізілмейді.

      5. Меншік иесі және (немесе) оператор өздері жүзеге асыратын міндеттерді орындау үшін қажетті және жеткілікті дербес деректердің тізбесіне қол жеткізуді Қазақстан Республикасының заңнамасында тыйым салынбаған тәсілдермен қамтамасыз етеді.

Меншік иесінің және (немесе) оператордың өздері жүзеге асыратын міндеттерді орындау үшін қажетті және жеткілікті дербес деректердің тізбесін айқындау қағидаларына қосымша

Жүзеге асырылатын міндеттерді орындау үшін қажетті және жеткілікті дербес деректердің тізбесі

Р/с №	Міндеттер, оның ішінде функциялар, өкілеттіктер, міндеттер атауы	Жүзеге асырылатын міндет шеңберінде жинау және өңдеу мақсаттары	Белгілі бір мақсат үшін дербес деректердің атауы	Меншік иесі және (немесе) оператор жүзеге асыратын міндеттерге тікелей нұсқаулары бар құжаттарды немесе нормативтік құқықтық актілерді көрсету